Gelombang serangan ransomware dengan tempo tinggi kembali menjadi perhatian setelah Microsoft Threat Intelligence mengungkap aktivitas aktor siber bermotif finansial yang dilacak sebagai Storm-1175. Kelompok ini menunjukkan pola operasi yang agresif dan sistematis, memanfaatkan celah keamanan yang baru diungkap untuk menembus sistem yang terpapar ke internet sebelum organisasi sempat menerapkan patch secara luas. Strategi tersebut menempatkan mereka dalam kategori aktor dengan kemampuan eksekusi cepat, yang mampu mengubah celah teknis menjadi insiden besar hanya dalam hitungan jam hingga beberapa hari.
"Storm-1175 bergerak sangat cepat mulai dari akses awal hingga eksfiltrasi data dan penyebaran ransomware Medusa, seringkali dalam hitungan hari dan, dalam beberapa kasus, dalam waktu kurang dari 24 jam" ungkap Microsoft Threat Intelligence.
Storm-1175 mengandalkan eksploitasi N-day, yaitu kerentanan yang telah dipublikasikan tetapi belum ditambal oleh banyak organisasi. Namun, dalam beberapa kasus, kelompok ini juga terdeteksi menggunakan zero-day kerentanan yang belum diketahui publik bahkan hingga satu minggu sebelum pengungkapan resmi. Kombinasi ini memberi mereka keunggulan signifikan dalam fase awal serangan, terutama terhadap sistem yang menghadap publik seperti server web, layanan manajemen jarak jauh, dan infrastruktur enterprise lainnya.
Setelah mendapatkan akses awal, Storm-1175 bergerak sangat cepat. Dalam banyak kasus, transisi dari eksploitasi awal ke eksfiltrasi data dan deployment ransomware dapat terjadi dalam waktu kurang dari 24 jam, meskipun sebagian serangan berlangsung selama lima hingga enam hari. Ransomware yang digunakan dalam operasi ini adalah Medusa ransomware, yang dikenal dengan model double extortion menggabungkan enkripsi data dengan ancaman kebocoran data untuk meningkatkan tekanan terhadap korban.
Dampak dari kampanye ini tidak terbatas pada satu sektor. Organisasi layanan kesehatan menjadi target utama, diikuti oleh sektor pendidikan, jasa profesional, dan keuangan. Wilayah yang terdampak signifikan meliputi Australia, Inggris, dan Amerika Serikat, menunjukkan bahwa operasi Storm-1175 memiliki cakupan global dengan fokus pada target bernilai tinggi dan kritikal.
Sejak 2023, lebih dari 16 kerentanan telah dieksploitasi oleh kelompok ini. Beberapa di antaranya mencakup sistem populer seperti Microsoft Exchange, Ivanti Connect Secure, JetBrains TeamCity, hingga SAP NetWeaver. Salah satu contoh paling mencolok adalah eksploitasi terhadap CVE-2025-31324 pada SAP NetWeaver, di mana celah tersebut dipublikasikan pada 24 April 2025 dan langsung dimanfaatkan oleh Storm-1175 sehari setelahnya.
Berikut list CVE yang kemudian digunakan oleh Storm-1175 dalam operasi serangan yang pernah mereka lakukan:
1. CVE-2023-21529 (Microsoft Exchange) - Base Score: 8.8 HIGH
"Penyerang yang terautentikasi dapat melakukan eksekusi kode jarak jauh (remote code execution) pada Microsoft Exchange Server, yang berpotensi menyebabkan penguasaan server sepenuhnya, pencurian data, serta pergerakan lateral (lateral movement) di dalam lingkungan perusahaan" yang diberitakan oleh SentinelOne
2. CVE-2023-27351 - Base Score: 8.2 HIGH dan CVE-2023-27350 - Base Score: 9.8 CRITICAL (Papercut)
CVE-2023-27351 "Kerentanan ini memungkinkan penyerang jarak jauh untuk melewati autentikasi pada instalasi PaperCut NG 22.0.5 (Build 63914) yang terdampak." ungkap pentesttool
CVE-2023-27350 "Setelah berhasil mengakses server, penyerang dapat memanfaatkan fitur-fitur yang ada pada perangkat lunak PaperCut untuk melakukan eksekusi kode jarak jauh (remote code execution)." ungkap peneliti CISA
3. CVE-2023-46805 danCVE-2024-21887 (Ivanti Connect Secure and Policy Secure)
4. CVE-2024-1709 and CVE-2024-1708 (ConnectWise ScreenConnect)
5. CVE-2024-27198 and CVE-2024-27199 (JetBrains TeamCity)
6. CVE-2024-57726, CVE-2024-57727, and CVE-2024-57728 (SimpleHelp)
7. CVE‑2025‑31161 (CrushFTP)
8. CVE-2025-10035 (GoAnywhere MFT)
9. CVE-2025-52691 and CVE-2026-23760 (SmarterMail)
10. CVE-2026-1731 (BeyondTrust)
Untuk Pembaca: Untuk melihat Base Score yang menjadi indikator keparahan dari sebuah vulnerabiliti bisa melalui situs CISA atau NVD.
Selain eksploitasi tunggal, Storm-1175 juga menunjukkan kemampuan chaining exploit, yaitu menggabungkan beberapa kerentanan untuk mencapai eksekusi kode jarak jauh (RCE) atau memperluas akses dalam sistem yang telah dikompromikan. Kemampuan ini memperkuat posisi mereka sebagai aktor dengan tingkat kematangan operasional yang tinggi.
Tidak hanya terbatas pada sistem berbasis Windows, Storm-1175 juga teridentifikasi menargetkan lingkungan Linux. Pada akhir 2024, eksploitasi terhadap instance rentan dari Oracle WebLogic ditemukan di berbagai organisasi, meskipun detail kerentanan spesifik yang digunakan tidak berhasil diidentifikasi. Hal ini menandakan fleksibilitas taktis kelompok tersebut dalam menghadapi berbagai arsitektur sistem.
Dalam fase pasca-kompromi, Storm-1175 mengikuti pola yang cukup konsisten. Mereka membuat web shell atau menanam payload akses jarak jauh untuk mempertahankan foothold dalam sistem. Setelah itu, mereka menciptakan akun pengguna baru dan memberikan hak administratif sebagai bentuk persistence. Akun ini kemudian digunakan untuk melakukan reconnaissance dan pergerakan lateral ke sistem lain dalam jaringan.
Untuk mempercepat pergerakan, Storm-1175 memanfaatkan teknik living-off-the-land dengan menggunakan alat bawaan sistem seperti PowerShell dan PsExec. Mereka juga menggunakan tunnel berbasis Cloudflare yang disamarkan sebagai proses sah seperti conhost.exe untuk menghindari deteksi. Jika akses Remote Desktop Protocol (RDP) tidak tersedia, mereka bahkan memodifikasi kebijakan firewall Windows untuk mengaktifkannya secara paksa.
Selain itu, kelompok ini sangat bergantung pada perangkat remote monitoring and management (RMM) untuk memperluas kontrol. Berbagai tools seperti AnyDesk, Atera RMM, dan ConnectWise ScreenConnect digunakan untuk mengelola sistem yang telah dikompromikan secara efisien dan tersembunyi.
Dalam hal pencurian kredensial, Storm-1175 memanfaatkan teknik klasik namun efektif. Mereka memodifikasi registry Windows untuk mengaktifkan caching kredensial melalui WDigest atau melakukan dump LSASS menggunakan Task Manager. Kedua teknik ini memerlukan hak administratif lokal, yang biasanya sudah mereka peroleh di tahap awal kompromi. Data yang diperoleh kemudian digunakan untuk eskalasi hak akses lebih lanjut, termasuk akses ke domain controller.
Salah satu langkah kritis dalam serangan adalah pengambilan file NTDS.dit, yaitu database Active Directory yang berisi informasi pengguna dan password yang dapat di-crack secara offline. Dengan akses ini, Storm-1175 dapat menguasai seluruh domain jaringan korban. Mereka juga memanfaatkan akses ke Security Account Manager (SAM) untuk mendapatkan kredensial tambahan.
Untuk menghindari deteksi, Storm-1175 secara aktif memanipulasi konfigurasi antivirus, termasuk mengubah pengaturan Microsoft Defender Antivirus melalui registry. Hal ini memungkinkan payload ransomware dijalankan tanpa hambatan dari mekanisme proteksi bawaan sistem.
Dalam tahap eksfiltrasi data, mereka menggunakan kombinasi alat kompresi dan sinkronisasi. File dikumpulkan menggunakan Bandizip, kemudian dikirim ke infrastruktur cloud menggunakan Rclone. Keunggulan Rclone adalah kemampuannya melakukan sinkronisasi real-time, sehingga data yang baru dibuat atau diperbarui dapat langsung diekspor tanpa interaksi manual tambahan dari penyerang.
Distribusi ransomware dilakukan dengan metode yang efisien dan luas. Storm-1175 sering menggunakan PDQ Deployer untuk menjalankan skrip seperti RunFileCopy.cmd yang menyebarkan payload Medusa ke seluruh jaringan. Dalam beberapa kasus, mereka bahkan menggunakan Group Policy untuk mendistribusikan ransomware secara massal, memanfaatkan hak istimewa tinggi yang telah diperoleh sebelumnya.
Meskipun taktik dan teknik yang digunakan Storm-1175 memiliki kemiripan dengan aktor ransomware lainnya, kecepatan dan konsistensi dalam eksekusi menjadikan mereka ancaman yang lebih sulit ditangani. Analisis terhadap aktivitas pasca-kompromi mereka memberikan wawasan penting bagi organisasi untuk memperkuat pertahanan, terutama dalam mendeteksi dan mengganggu aktivitas penyerang setelah akses awal berhasil dicapai.
Kasus ini menegaskan bahwa jendela waktu antara pengungkapan kerentanan dan penerapan patch menjadi titik kritis dalam keamanan siber modern. Organisasi yang gagal merespons dengan cepat terhadap disclosure kerentanan akan terus menjadi target empuk bagi aktor seperti Storm-1175, yang telah mengoptimalkan seluruh rantai serangan untuk memanfaatkan keterlambatan tersebut.
Baca Juga
Microsoft Threat Intelligence - Amerika-Israel dan Iran
Sumber:
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
